用户云主机试用教你如何进行云主机安全设置

云主机试用教你如何进行云主机安全设置

在高级tc p/ip设置里——“NetBIOS”设置“禁用tcp/IP上的NetBIOS S ”

修改3389远程连接端口

修改注册表。开始——运行——regedit

依次展开HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINALSERVER/WDS/RDPWD/TDS/TCP。右边键值中PortNum ber改为你想用的端口号。注意使用十进制例

10000

依次展开HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINALSERVER/WINSTATION S/RDP-TCP/右边键值中PortNumber改为你想用的端口号。注意使用十进制例

10000

注意别忘了在WIN DOWS2003自带的防火墙给+上10000端口。修改完毕重新启动服务器设置生效。

一、用户安全设置

1、禁用Gue st账号

在计算机管理的用户里面把Gue st账号禁用。为了保险起见最好给Gu est加一个复杂的密码。你可以打开记事本在里面输入一串包含特殊字符、数字、字母的长字符串然后把它作为Gues t用户的密码拷进去。

2、限制不必要的用户

去掉所有的D up licat eU s er用户、测试用户、共享用户等等。用户组策略设置相应权限并且经常检查系统的用户删除已经不再使用的用户。这些用户很多时候都是黑客们入侵系统的突破口。

3、把系统Administrator账号改名大家都知道Windows2003的Administrator用户是不能被停用的这意味着别人可以一遍又一遍地尝试这个用户的密码。尽量把它伪装成普通用户 比如改成Guesy cludx。

4、创建一个陷阱用户

什么是陷阱用户?即创建一个名为“Administrator”的本地用户把它的权限设置成最低什么事也干不了的那种并且加上一个超过10位的超级复杂密码。这样可以让那些Hac ker们忙上一段时间借此发现它们的入侵企图。

5、把共享文件的权限从Everyone组改成授权用户

任何时候都不要把共享文件的用户设置成“Every one”组包括打印共享默认的属性就是“Every one”组的一定不要忘了改。

6、开启用户策略

使用用户策略分别设置复位用户锁定计数器时间为20分钟用户锁定时间为20分钟用户锁定阈值为3次。 该项为可选

7、不让系统显示上次登录的用户名

默认情况下登录对话框中会显示上次登录的用户名。这使得别人可以很容易地得到系统的一些用户名进而做密码猜测。修改注册表可以不让对话框里显示上次登录的用户名。方法为打开注册表编辑器并找到注册表“HKLM\Software\M icrosoft\WindowsT\CurrentVersion\Winlo gon\Dont-Disp lay LastUs erName”把REG_SZ的键值改成1。

二、密码安全设置

1、使用安全密码

一些公司的管理员创建账号的时候往往用公司名、计算机名做用户名然后又把这些用户的密码设置得太简单 比如“welco me”等等。因此要注意密码的复杂性还要记住经常改密码。

2、设置屏幕保护密码

这是一个很简单也很有必要的操作。设置屏幕保护密码也是防止内部人员破坏服务器的一个屏障。

3、开启密码策略

注意应用密码策略如启用密码复杂性要求设置密码长度最小值为6位设置强制密码历史为5次时间为42天。

4、考虑使用智能卡来代替密码

对于密码 总是使安全管理员进退两难密码设置简单容易受到黑客的攻击密码设置复杂又容易忘记。如果条件允许用智能卡来代替复杂的密码是一个很好的解决方法。

三、系统权限的设置

1、磁盘权限

系统盘及所有磁盘只给Administrators组和SYST EM的完全控制权限

系统盘\D ocument s andSett ings目录只给Administrators组和SYST E M的完全控制权限

系统盘\D ocument s andSettings\AllU s ers目录只给Administrat ors组和SY ST EM的完全控制权限

系统盘\Windows\System32\cacls exe、cmd exe、net exe、net 1 exe、ftp exe、 tftp exe、 telnet exe、netstat exe、reged it exe、 at exe、 attrib exe、 format com、 del文件只给Administrators组和SYSTEM的完全控制权限

另将\System32\cmd exe、 format com、 ftp exe转移到其他目录或更名

D ocument s andSettings下所有些目录都设置只给adinistrators权限。并且要一个一个目录查看包括下面的所有子目录。

删除c:\inetpub目录

2、本地安全策略设置

开始菜单—〉管理工具—〉本地安全策略

A、本地策略——〉审核策略

审核策略更改 成功 失败

审核登录事件 成功 失败

审核对象访问 失败审核过程跟踪 无审核

审核目录服务访问 失败

审核特权使用 失败

审核系统事件 成功 失败

审核账户登录事件 成功 失败

审核账户管理 成功 失败

B、本地策略——〉用户权限分配

关闭系统只有Administrators组、其它全部删除。

通过终端服务允许登陆只加入Administrat ors,RemoteD eskt op U sers组其他全部删除

C、本地策略——〉安全选项

交互式登陆不显示上次的用户名 启用

网络访问不允许SA M帐户和共享的匿名枚举启用

网络访问不允许为网络身份验证储存凭证 启用

网络访问可匿名访问的共享 全部删除

网络访问可匿名访问的命 全部删除

网络访问可远程访问的注册表路径 全部删除

网络访问可远程访问的注册表路径和子路径 全部删除

帐户重命名来宾帐户 重命名一个帐户

帐户重命名系统管理员帐户 重命名一个帐户

3、禁用不必要的服务开始-运行-servi ces msc

TCP/IPNetBIOSHelp er提供TCP/IP服务上的NetB IOS和网络上客户端的NetB IOS名称解析的支持而使用户能够共享

文件、打印和登录到网络

Serve r支持此计算机通过网络的文件、打印、和命名管道共享

Comp ut erBrow s er维护网络上计算机的最新列表以及提供这个列表

T askschedu ler允许程序在指定时间运行

Messenger传输客户端和服务器之间的NETS END和警报器服务消息

D istribut edF ileSy st em:局域网管理共享文件不需要可禁用

D istribut edlinktrackingcl ient用于局域网更新连接信息不需要可禁用

Errorrep ortingservic e禁止发送错误报告

M icros o ft Serch提供快速的单词搜索不需要可禁用

NT LM Security supp ortprovide t elnet服务和Micros oft Se rch用的不需要可禁用

PrintSp ooler如果没有打印机可禁用

Remot eRegi stry禁止远程修改注册表

RemoteD esktop Help Ses sionManage r禁止远程协助

Workstation关闭的话远程NET命令列不出用户组

以上是在Window s Server2003系统上面默认启动的服务中禁用的默认禁用的服务如没特别需要的话不要启动。

4、修改注册表

修改注册表让系统更强壮

1)隐藏重要文件/目录可以修改注册表实现完全隐藏

HKEY_LO CAL_M ACHINE\SOFTWARE\M icrosoft\Windows\Current-Version\Exp lo rer\Advanced\F older\Hi-dden\SHOWA LL“ 鼠标右击”Check edVal ue “选择修改把数值由1改为0

2)防止SYN洪水攻击

HKEY_LO CAL_M ACHINE\SYST E M\CurrentControlSet\Servi ces\T cp ip\Param eters

新建DWO RD值名为Sy nAtt ackProtect值为2

新建EnablePMTUD iscovery REG_DWORD0

新建N oNameRe leas e OnD emandREG_D WO RD 1

新建EnableD eadGWD et ectREG_DWORD 0

新建Keep AliveT imeREG_D WO RD 300,000

新建P erformRout erD is covery REG_DWORD 0

新建EnableICM PRedirect sREG_DWORD0

3)禁止响应ICMP路由通告报文

HKEY_LO CAL_M ACHINE\SYST E M\Current ControlSet\Servi ces\T cp ip\P aram eters\Int erfaces\int er face

新建DWO RD值名为P erformRout erD is co very值为0

4)防止ICM P重定向报文的攻击

HKEY_LO CAL_M ACHINE\SYST E M\CurrentControlSet\Servi ces\T cp ip\Param eters

将Enab leICMPRedirect s值设为0

5)不支持IG MP协议

HKEY_LO CAL_M ACHINE\SYST E M\CurrentControlSet\Servi ces\T cp ip\Param eters

新建DWO RD值名为IGMPLevel值为0

6)禁止IPC空连接crack er可以利用netu se命令建立空连接进而入侵还有net viewnbt stat这些都是基于空连接的禁止空连接就好了。

Local_M achine\Sy st em\Current ControlSet\Control\LSA-RestrictAnony mous把这个值改成“1”即可。删除默认共享

有人问过我一开机就共享所有盘改回来以后重启又变成了共享是怎么回事这是2K为管理而设置的默认共享HKEY_LO CAL_M ACHINE\SYST E M\Current ControlSet\Servi ces\LanmanServ er\P aram et ersAut o Share Serv er类型是REG_D WORD把值改为0即可

7)禁止建立空连接

默认情况下任何用户通过通过空连接连上服务器进而枚举出帐号猜测密码。我们可以通过修改注册表来禁止建立空连接

Local_M achine\Sy st em\Current ControlSet\Control\LSA-RestrictAnonymous的值改成“1”即可。

8)建立一个记事本填上以下代码。保存为*bat并加到启动项目 中net sharec$Cont ent$nbsp;/delnet shared$Cont e nt$nbsp;/delnet sharee$Content$nbsp;/delnet sharef$Content$nbsp;/delnet shareip c$Cont ent$nbsp;/delnet sharead min$Cont e nt$nb sp;/del

5、 IIS站点设置

将IIS目录数据与系统磁盘分开保存在专用磁盘空间内 。

启用父级路径

在IIS管理器中删除必须之外的任何没有用到的映射保留asp等必要映射即可

在IIS中将HTTP404ObjectNotFound出错页面通过UR L重定向到一个定制H TM文件

Web站点权限设定建议

读允许

写不允许

脚本源访问不允许

目录浏览建议关闭

日志访问建议关闭

索引资源建议关闭

执行推荐选择“仅限于脚本”

6、建议使用W 3C扩充日志文件格式每天记录客户IP地址用户名服务器端口 方法URI字根HTT P状态用户代理而且每天均要审查日志。 最好不要使用缺省的目录建议更换一个记日志的路径 同时设置日志的访问权限只允许管理员和sys tem为FullControl 。

7、程序安全:

1)涉及用户名与口令的程序最好封装在服务器端尽量少的在ASP文件里出现涉及到与数据库连接地用户名与口令应给予最小的权限;

2)需要经过验证的ASP页面可跟踪上一个页面的文件名只有从上一页面转进来的会话才能读取这个页面。

3)防止A SP主页inc文件泄露问题;

4)防止UE等编辑器生成some asp bak文件泄露问题。

8、 IIS权限设置的思路

要为每个独立的要保护的个体比如一个网站或者一个虚拟目录创建一个系统用户让这个站点在系统中具有惟一的可以设置权限的身份。

在II S的【站点属性或者虚拟目录属性→目录安全性→匿名访问和验证控制→编辑→匿名访问→编辑】填写刚刚创建的那个用户名。

设置所有的分区禁止这个用户访问而刚才这个站点的主目录对应的那个文件夹设置允许这个用户访问要去掉继承父权限并且要加上超管组和SYST EM组 。卸载最不安全的组件

最简单的办法是直接卸载后删除相应的程序文件。将下面的代码保存为一个BAT文件 (以下均以WIN2000为例如果使用2003则系统文件夹应该是C:\WIND OWS\)regsv r32/u

C:\WINDOWS\Sy stem32\wshom ocxdel C:\WINDOWS\Sy stem32\wshom ocxregsvr32/u C:\WINDOWS\sy stem32\shell32 dlldel C:\WINNT\WINDOWS\shell 32 dll

然后运行一下WScrip t Shell,Shell app lication,WScrip t Network就会被卸载了。可能会提示无法删除文件不用管它重启一下服务器就可以了。

本文由八度网络www ebadu net提供转载请注明来源谢谢